@mo лол. Жиза. По этому когда я разрабатывал стстему...

@mo лол. Жиза. По этому когда я разрабатывал стстему с СМС ОТР, то мы слали 2х значный номер кода в смс, и отображали его на экоане. Те. Человек щнал что ему надо ввести код номер 32 например. И ждал нужной СМС.

Like 1 Feb 2023 at 9:49 | Wall-to-wall | Open on social.vivaldi.net

5 comments

Мя :sparkles_lesbian:

@winnie13ua как вариант ещё принимать валидными все высланные коды для этой операции
Это не сильно снизит безопасность, но работать будет прозрачно и привычно

1 Feb 2023 at 9:52 | Open on mastodon.ml

winnie13ua

@mo не уверен насчет безопасности, надо подумать.

1 Feb 2023 at 9:54 | Open on social.vivaldi.net

Мя :sparkles_lesbian:

@winnie13ua рассуждаем логически. Как могут атаковать SMS 2FA?
Вариант первый: прочитать смс вместо пользователя. Либо через перехват, либо через спизженый телефон
Тут уже все, никакая энтропия не поможет

Или, попытаться этот код угадать (чем люди в здравом уме заниматься не будут)
У 4-значного кода 10 000 комбинаций (10⁴)
Если валидная одна, то шанс её угадать 1/10 000
Теперь, мы разрешаем не один код, а 3
Шансы соответственно 1/3 333
В три раза больше, но все ещё маловероятно

1 Feb 2023 at 10:03 | Open on mastodon.ml

Мя :sparkles_lesbian:

@winnie13ua особенно учитывая, что попытки ограничены. Ну и это легко компенсируется одноразовым кодом, например в 5 цифр

1 Feb 2023 at 10:04 | Open on mastodon.ml

winnie13ua

@mo

хм, да, интересно.

А если могут прехватывать не все СМС а только часть (атака с переводом телефона в режим 2G, но глушилка не стабильно глушит )

1 Feb 2023 at 11:36 | Open on social.vivaldi.net